{"id":48171,"date":"2021-09-10T11:08:57","date_gmt":"2021-09-10T15:08:57","guid":{"rendered":"https:\/\/crea-am.org.br\/creaam_site\/?p=48171"},"modified":"2021-09-10T11:08:57","modified_gmt":"2021-09-10T15:08:57","slug":"software-de-declaracao-do-imposto-de-renda-tinha-brecha-grave-de-seguranca","status":"publish","type":"post","link":"https:\/\/crea-am.org.br\/creaam_site\/software-de-declaracao-do-imposto-de-renda-tinha-brecha-grave-de-seguranca\/","title":{"rendered":"Software de declara\u00e7\u00e3o do Imposto de Renda tinha brecha grave de seguran\u00e7a"},"content":{"rendered":"

\"\"<\/p>\n

Uma brecha no software de declara\u00e7\u00e3o do Imposto de Renda de Pessoa F\u00edsica (IRPF 2021) pode ter exposto os usu\u00e1rios a riscos, principalmente durante a utiliza\u00e7\u00e3o em redes compartilhadas ou inseguras. A falha estava no sistema de verifica\u00e7\u00e3o de atualiza\u00e7\u00f5es da aplica\u00e7\u00e3o, com checagens e downloads realizados sem criptografia e verifica\u00e7\u00f5es adicionais, o que permitia a um atacante inserir instaladores maliciosos que se passariam por updates do programa oficial.<\/span><\/p>\n

A falha foi denunciada ao\u00a0Canaltech<\/strong>\u00a0pelo especialista em seguran\u00e7a da informa\u00e7\u00e3o Gabriel Nunes, que notou o problema ap\u00f3s realizar a pr\u00f3pria declara\u00e7\u00e3o, cujo prazo foi finalizado no dia 31 de maio. De acordo com ele, a brecha aparecia tanto na vers\u00e3o Windows quanto Linux do IRPF 2021 e poderia expor seus usu\u00e1rios a ataques do tipo man in the middle, uma vez que a entrega de declara\u00e7\u00f5es n\u00e3o era poss\u00edvel sem que o utilizador estivesse rodando a vers\u00e3o mais recente.<\/span><\/p>\n

Os golpes desse tipo, como o nome j\u00e1 diz, consistem na intercepta\u00e7\u00e3o da comunica\u00e7\u00e3o entre duas partes envolvidas em uma conex\u00e3o, seja para coleta de dados, seja para inser\u00e7\u00e3o de c\u00f3digos maliciosos no lugar de informa\u00e7\u00f5es leg\u00edtimas. \u00c9 justamente o que seria poss\u00edvel na brecha detectada no software da\u00a0Receita Federal<\/a>, que fazia essa comunica\u00e7\u00e3o sem os devidos protocolos de seguran\u00e7a ou verifica\u00e7\u00f5es para garantir que os arquivos baixados efetivamente vieram das fontes originais.<\/span><\/p>\n

\u201cEsse ataque, apesar de ser extremamente grave, est\u00e1 limitado apenas ao escopo da subrede do usu\u00e1rio, e n\u00e3o pode ser realizado por meio da internet ou de forma remota\u201d, explica Nunes. Ele indica que um atacante precisaria estar na mesma rede que a v\u00edtima para que a intercepta\u00e7\u00e3o dos dados pudesse ser bem-sucedida. Em uma prova de conceito, ele exibe como seria capaz de gerar uma conex\u00e3o reversa ao manipular arquivos da atualiza\u00e7\u00e3o leg\u00edtima do software da Receita Federal, por meio dos quais c\u00f3digos maliciosos poderiam ser inseridos.<\/span><\/p>\n

Na an\u00e1lise, o especialista n\u00e3o apenas foi capaz de manipular um arquivo zipado fornecido originalmente pela Receita Federal, como tamb\u00e9m observou que o software de declara\u00e7\u00e3o do Imposto de Renda n\u00e3o realizou nenhum tipo de checagem e apenas executou o conte\u00fado do pacote baixado. Com isso, seriam abertas as portas para explora\u00e7\u00f5es maliciosas que poderiam envolver a instala\u00e7\u00e3o de malwares e a intercepta\u00e7\u00e3o de dados sens\u00edveis dos usu\u00e1rios.<\/span><\/p>\n

De acordo com o especialista, uma explora\u00e7\u00e3o dessa vulnerabilidade poderia acontecer em redes abertas ou, ainda que fechadas, compartilhadas por diferentes usu\u00e1rios, como no caso de um caf\u00e9, um hotel ou uma academia, por exemplo. \u201cRealizar um ataque do tipo man in the middle \u00e9 extremamente simples, por isso, \u00e9 importante evitar o tr\u00e1fego de dados sens\u00edveis em uma conex\u00e3o p\u00fablica\u201d, completa Nunes.<\/span><\/p>\n

Intruso no caminho<\/strong><\/span><\/p>\n

O uso de diferentes camadas de prote\u00e7\u00e3o pode evitar a realiza\u00e7\u00e3o de ataques desse tipo. \u00c9 o que aponta Daniel Barbosa, especialista em seguran\u00e7a da informa\u00e7\u00e3o e pesquisador da ESET Brasil. Segundo ele, uma abordagem preventiva costuma ser a melhor solu\u00e7\u00e3o para contornar, at\u00e9 mesmo, vulnerabilidades desse tipo.<\/span><\/p>\n

Ele cita como boas pr\u00e1ticas o uso de softwares leg\u00edtimos e de empresas reconhecidas, que estejam com os protocolos de seguran\u00e7a ativos e vers\u00f5es mais recentes instaladas. Ao mesmo tempo, vale a pena manter solu\u00e7\u00f5es de prote\u00e7\u00e3o como antiv\u00edrus, sempre ativas e atualizadas, j\u00e1 que elas s\u00e3o capazes de detectar amea\u00e7as mais comuns. \u201c[As solu\u00e7\u00f5es] conseguem proteger o dispositivo caso softwares mal-intencionados tentem ser executados, al\u00e9m de identificar anomalias na comunica\u00e7\u00e3o da rede, o que impede ataques do tipo man in the middle\u201d, finaliza.<\/span><\/p>\n

Nunes tamb\u00e9m refor\u00e7a a orienta\u00e7\u00e3o quanto ao uso de redes pouco seguras, que devem ser evitadas durante a realiza\u00e7\u00e3o de opera\u00e7\u00f5es sens\u00edveis ou acesso a sites importantes. \u201cPelo baixo n\u00edvel de seguran\u00e7a, os dados [dos usu\u00e1rios] podem estar em risco, ou pior, um criminoso pode conseguir acesso direto a equipamentos, com [a abertura] mantida mesmo depois da desconex\u00e3o\u201d, aponta o pesquisador. De acordo com ele, nestes espa\u00e7os, o ideal \u00e9 sempre utilizar plataformas que tenham conex\u00f5es seguras, como o protocolo HTTPS, e sites sabidamente protegidos.<\/span><\/p>\n

Nunes refor\u00e7a a necessidade de protocolos desse tipo quando fala, especificamente, do software de declara\u00e7\u00e3o do Imposto de Renda. A ideia \u00e9 que, para a vers\u00e3o lan\u00e7ada para as declara\u00e7\u00f5es do ano que vem, os respons\u00e1veis utilizem criptografia SSL sobre a conex\u00e3o HTTP, al\u00e9m de verificar o certificado da conex\u00e3o realizada. \u201cTamb\u00e9m \u00e9 interessante implementar algum sistema de verifica\u00e7\u00e3o para garantir que [a atualiza\u00e7\u00e3o] tenha sido efetivamente baixada do site da Receita\u201d, completa.<\/span><\/p>\n

O\u00a0Canaltech<\/strong>\u00a0tentou contato com a Receita Federal e tamb\u00e9m com o Serpro (Servi\u00e7o Federal de Processamento de Dados), respons\u00e1vel pelo desenvolvimento do software IRPF 2021 a partir do dia 8 de junho. A reportagem seguiu crit\u00e9rios de divulga\u00e7\u00e3o respons\u00e1vel e s\u00f3 foi receber um retorno em 3 de setembro, quando a RF disse que n\u00e3ose manifestaria sobre o caso.<\/span><\/p>\n

Como o prazo de entrega das declara\u00e7\u00f5es se encerrou em maio, usu\u00e1rios que ainda tenham o software instalado em suas m\u00e1quinas n\u00e3o est\u00e3o vulner\u00e1veis aos ataques do tipo man in the middle. A aten\u00e7\u00e3o, agora, se volta \u00e0 vers\u00e3o 2022 da aplica\u00e7\u00e3o, ainda n\u00e3o disponibilizada pela Receita Federal. Como o \u00f3rg\u00e3o n\u00e3o comentou o caso, tamb\u00e9m n\u00e3o se sabe se a brecha ser\u00e1 corregida para o pr\u00f3ximo lan\u00e7amento do software.<\/span><\/p>\n

 <\/p>\n

Por\u00a0Felipe Demartini\u00a0| Editado por\u00a0Claudio Yuge\u00a0<\/strong><\/span><\/p>\n

Fonte: Canal Tech<\/strong><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

A falha foi denunciada ao Canaltech pelo especialista em seguran\u00e7a da informa\u00e7\u00e3o, que notou o problema ap\u00f3s realizar a pr\u00f3pria declara\u00e7\u00e3o<\/p>\n","protected":false},"author":2,"featured_media":48172,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[102],"tags":[],"class_list":["post-48171","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/posts\/48171","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/comments?post=48171"}],"version-history":[{"count":1,"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/posts\/48171\/revisions"}],"predecessor-version":[{"id":48174,"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/posts\/48171\/revisions\/48174"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/media\/48172"}],"wp:attachment":[{"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/media?parent=48171"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/categories?post=48171"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/crea-am.org.br\/creaam_site\/wp-json\/wp\/v2\/tags?post=48171"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}